Уязвимость в (изначально) сервисе и (потом) в приложении для паролей в iOS/iPad OS, которое Apple исправила в декабре прошлого года, но детали исправления раскрыла только пару дней назад
https://support.apple.com/en-us/121837
Приложение связывалось с различными вебсайтами для загрузки иконок и логотипов к записям с паролями по HTTP, и по умолчанию пыталось открывать странички сброса пароля тоже по HTTP, что открывало возможность для перехвата и перенаправления пользователей на фишинговые вебсайты.
https://www.youtube.com/watch?v=VUSB3FK1dKA
Возникает вопрос, почему у Apple есть разработчик, который, работая над приложением для хранения паролей, считает, что это нормально использовать HTTP протокол. Не говоря уже о том, что для нормальных параноиков должна быть опция отключить эту ходьбу по вебсайтам в принципе.
https://support.apple.com/en-us/121837
Приложение связывалось с различными вебсайтами для загрузки иконок и логотипов к записям с паролями по HTTP, и по умолчанию пыталось открывать странички сброса пароля тоже по HTTP, что открывало возможность для перехвата и перенаправления пользователей на фишинговые вебсайты.
https://www.youtube.com/watch?v=VUSB3FK1dKA
Возникает вопрос, почему у Apple есть разработчик, который, работая над приложением для хранения паролей, считает, что это нормально использовать HTTP протокол. Не говоря уже о том, что для нормальных параноиков должна быть опция отключить эту ходьбу по вебсайтам в принципе.
Apple Support
About the security content of iOS 18.2 and iPadOS 18.2 - Apple Support
This document describes the security content of iOS 18.2 and iPadOS 18.2.
👍54😱32🤣15🤡12🤷♂4🔥3❤2
Журналист The Atlantic рассказывает, как представители администрации президента США Трампа случайно включили его в чат Signal, где они обсуждали совершенно секретные планы ударов по йеменским повстанцам. ЧТО КАК ВООБЩЕ ВОЗМОЖНО
https://www.theatlantic.com/politics/archive/2025/03/trump-administration-accidentally-texted-me-its-war-plans/682151/?gift=kPTlqn0J1iP9IBZcsdI5IVJpB2t9BYyxpzU4sooa69M
https://www.theatlantic.com/politics/archive/2025/03/trump-administration-accidentally-texted-me-its-war-plans/682151/?gift=kPTlqn0J1iP9IBZcsdI5IVJpB2t9BYyxpzU4sooa69M
The Atlantic
The Trump Administration Accidentally Texted Me Its War Plans
U.S. national-security leaders included me in a group chat about upcoming military strikes in Yemen. I didn’t think it could be real. Then the bombs started falling.
😁85🤡25🤯12👍6🤷♂4🤣2👏1🐳1
Keenetic всем передает привет (спасибо всем, кто прислал ссылки)
1,034,920 раскрытых записей с обширными пользовательскими данными: электронные почты, имена, локали, система управления идентификацией Keycloak и идентификаторы заказов в сети, а также Telegram Code ID.
929,501 утекшая запись содержит подробную информацию об устройствах: SSID и пароли Wi-Fi в открытом виде, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое.
558,371 запись конфигурации устройств: данные доступа пользователей, уязвимые пароли с хешированием MD5, назначенные IP-адреса и расширенные настройки маршрутизаторов.
Обширные журналы обслуживания, содержащие более 53,869,785 записей: имена хостов, MAC-адреса, IP-адреса, данные доступа и даже флаги "owner_is_pirate" (владелец — пират).
https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/
https://www.scworld.com/brief/widespread-keenetic-router-data-breach-uncovered
1,034,920 раскрытых записей с обширными пользовательскими данными: электронные почты, имена, локали, система управления идентификацией Keycloak и идентификаторы заказов в сети, а также Telegram Code ID.
929,501 утекшая запись содержит подробную информацию об устройствах: SSID и пароли Wi-Fi в открытом виде, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое.
558,371 запись конфигурации устройств: данные доступа пользователей, уязвимые пароли с хешированием MD5, назначенные IP-адреса и расширенные настройки маршрутизаторов.
Обширные журналы обслуживания, содержащие более 53,869,785 записей: имена хостов, MAC-адреса, IP-адреса, данные доступа и даже флаги "owner_is_pirate" (владелец — пират).
https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/
https://www.scworld.com/brief/widespread-keenetic-router-data-breach-uncovered
Cybernews
Massive Keenetic data leak uncovered: 1M households could be exposed
Users of Keenetic routers, mainly in Russia, have been exposed in a major data leak revealing sensitive credentials, device details, network configurations, and logs.
🤯43🔥33👍6❤3🤔2😢1🎉1
Что делать с Keenetic?
The company swiftly released an advisory for Keenetic mobile app users, urging them to change the following passwords and pre-shared keys:
▪ Keenetic device user account passwords
▪ WiFi passwords
▪ VPN-client passwords/pre-shared keys for PPTP/L2TP, L2TP/IPSec, IPSec Site-to-Site, SSTP
https://keenetic.com/global/security
The company swiftly released an advisory for Keenetic mobile app users, urging them to change the following passwords and pre-shared keys:
▪ Keenetic device user account passwords
▪ WiFi passwords
▪ VPN-client passwords/pre-shared keys for PPTP/L2TP, L2TP/IPSec, IPSec Site-to-Site, SSTP
https://keenetic.com/global/security
🤯46🤡17😁7✍4👍2😢2❤1
мемы в целом неплохие местами по поводу дебилов в Signal
😁101🔥13👍10🤡6🥱3🌚3❤1
Forwarded from yopp
Создатель haveibeenpwned был pwned
https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
История оч хорошо показывает что даже люди из инфосека могут стать жертвой фишинга
https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
История оч хорошо показывает что даже люди из инфосека могут стать жертвой фишинга
Troy Hunt
A Sneaky Phish Just Grabbed my Mailchimp Mailing List
You know when you're really jet lagged and really tired and the cogs in your head are just moving that little bit too slow? That's me right now, and the penny has just dropped that a Mailchimp phish has grabbed my credentials, logged into my account and exported…
😁27🔥21😢17🤯6🤡3🥴3👏2🤣2😱1🤮1💩1
Похоже, что утекли примерно 200 млн записей пользователей Хуиттера. Того самого хуиттера, который обещал быть безопасным банком и вот это все.
https://www.safetydetectives.com/news/x200m-leak-report/
https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/ — в базе, похоже, 2,8 млрд записей
база https://biteblob.com/Information/vALpZgycNGJ9QO/
https://www.safetydetectives.com/news/x200m-leak-report/
https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/ — в базе, похоже, 2,8 млрд записей
база https://biteblob.com/Information/vALpZgycNGJ9QO/
SafetyDetectives
Over 200 Million Records Allegedly Belonging to X Leaked Online
SafetyDetectives’ Cybersecurity Team stumbled upon a clear web forum post where a threat actor published a .CSV file allegedly containing over 200 million records from X users.
😁65🐳23👍5🤡5🤔2
я не понимаю, как у Microsoft стыкуются эти две вещи
😁104🏆29🤣21🤡7🤯4🤓1🗿1
Кто вообще просит или хочет эту функциональность? Они же еще и включат ее по умолчанию
https://www.theverge.com/news/645666/microsoft-copilot-vision-windows-beta-testing
https://www.theverge.com/news/645666/microsoft-copilot-vision-windows-beta-testing
The Verge
Microsoft starts testing Copilot Vision update that can “see” your screen and apps
Copilot Vision will even guide you through using apps like Photoshop, highlighting features on your screen.
🤣47🤬19👍10👎6😁4🤡3🔥2
1. Сгенерированный LLM код пытается запускать код из онлайн-пакетов. Это нормально, но
2. Эти пакеты не существуют. Обычно это вызывает ошибку, но
3. Злоумышленники создали вредоносное ПО с теми названиями пакетов, которые LLM чаще всего выдумывает. Поэтому
4. Теперь код, сгенерированный LLM, указывает на вредоносное ПО.
https://www.theregister.com/2025/04/12/ai_code_suggestions_sabotage_supply_chain/
2. Эти пакеты не существуют. Обычно это вызывает ошибку, но
3. Злоумышленники создали вредоносное ПО с теми названиями пакетов, которые LLM чаще всего выдумывает. Поэтому
4. Теперь код, сгенерированный LLM, указывает на вредоносное ПО.
https://www.theregister.com/2025/04/12/ai_code_suggestions_sabotage_supply_chain/
The Register
LLMs can't stop making up software dependencies and sabotaging everything
: Hallucinated package names fuel 'slopsquatting'
😁142👍49🤯34🔥20🤣14🥰3😱3❤2🤩1
Компания Hertz предупреждает своих клиентов о том, что их персональная информация, включая данные кредитных карт и номера социального страхования, могла быть украдена в результате утечки данных, затронувшей одного из поставщиков компании. В уведомлении, размещённом на сайте Hertz, говорится, что данные компании «были получены несанкционированной третьей стороной» во время кибератаки, использовавшей уязвимости нулевого дня в платформе передачи файлов Cleo Communications в период с октября по декабрь 2024 года.
https://www.hertz.com/content/dam/hertz/global/resources/Notice_of_Data_Incident-United_States.pdf
https://www.hertz.com/content/dam/hertz/global/resources/Notice_of_Data_Incident-United_States.pdf
🤔17🌚13🎉4❤1👍1🔥1🤪1
Правительство США прекратило финансирование программы CVE
https://www.theregister.com/2025/04/16/homeland_security_funding_for_cve/
https://www.theregister.com/2025/04/16/homeland_security_funding_for_cve/
The Register
Uncle Sam kills funding for CVE program. Yes, that CVE program
Updated: Because vulnerability management has nothing to do with national security, right?
🤬92🤡44🔥19🤣14😱8🌚4👎3🎉3👍2💔2🍾2